Архив новостей

SpamPal и защита от спама

Можно нигде не демонстрировать свой почтовый адрес. Помогает не всегда — адрес на популярном сервере подбирается простым перебором букв и, если он состоит из 4-5 букв + @что-то.ру, то можно его нигде и не демонстрировать — спамеры его сами найдут.

Кстати, адреса на собственных серверах еще меньше отличаются оригинальностью — если есть домен вида domain.ru, то почти наверняка существуют почтовые адреса info@domain.ru, admin@domain.ru и webmaster@domain.ru.

Можно принимать почту только от проверенных получателей. Это действительно спасает от спама. Но одновременно это либо «спасает» от деловой переписки с людьми, которые обращаются к вам впервые, либо вынуждает тратить солидное количество времени на просмотр «непроверенных» адресов, с которых пришли письма.

Можно воспользоваться, например, возможностью выборочного скачивания писем, предлагаемой TheBat!. Технически довольно просто.

  • составляется список сигнальных строк, которые встречаются в заголовках спамерских писем (это может быть адрес спамера или типичная фраза из письма)
  • список включается в фильтр TheBat!

Теперь почтовая программа при получении почты будет просматривать заголовки писем в поисках сигнальных строк, блокируя получение тех, в которых такие строки будут найдены. Поначалу этот способ кажется очень мощным, пользователь с удовольствием занимается пополнением списка, включая туда строки из прорвавшихся через фильтр писем.

Но довольно скоро понимаешь, что сражаешься вручную против толпы автоматов — как правило, адрес отправителя используется один раз, а в стандартный заголовок программным (т.е. автоматическим) способом легко включить случайные символы, которые обеспечат прохождение письма через такой фильтр.

А можно воспользоваться специальными программами, которые разработаны для подавления спама. В данной статье мы попробуем рассмотреть одну из них — SpamPal.

Небольшое отступление в оффлайн

На многих небольших предприятиях и учреждениях работа с почтой построена так — вся почта поступает начальнику, который расписывает почту по отделам или конкретным работникам, потом его секретарша раскладывает почту по папкам, которые относит работникам. Очень похоже на фильтры в почтовых программах, да?

Я именно так и делал, часть писем при этом размечая грифом «ДК» — «До корзины». Бог его знает, кто первый придумал такое обозначение, но оно работало безукоризненно. В эту категорию попадали письма явно рекламные, анонсы, присылаемые «для сведения», но на самом деле абсолютно не нужные, — короче говоря, спам.

Именно так и работают программы, распознающие спам, — помечая определенным образом письмо, после чего его легко отсортировать хоть в корзину, хоть в специальную папку. И SpamPal здесь не исключение.

Установка и настройка

Для использования SpamPal вам потребуется компьютер с установленной Windows, соединение с Интернет и почтовый ящик с доступом по POP3.

Установка и настройка программы проста. Скачать SpamPal можно с домашней страницы программы или ее зеркал. Программа бесплатна. Ничего нетипичного в установке нет.

При этом у программы есть и русский интерфейс, подробности можно узнать на странице русифицированного руководства к программе .

Чтобы настроить почтовый клиент для работы со SpamPal, достаточно изменить параметры доступа к почтовому ящику, который вы решили фильтровать, прописав вместо почтового сервера localhost, а в имени пользователя указав вместо yourlogin — yourlogin@yourmailserver.com, где yourmailserver.com — адрес вашего почтового сервера.

В принципе, все уже и так готово, но нелишне пройтись по настройкам SpamPal. На вкладке «Списки DNSBL» можно выбрать самые разнообразные виды списков запрещенных серверов, с которыми SpamPal будет сверять всю поступившую почту, на вкладке «Пометка» — указать вид пометки, которая будет проставляться в письме. Дальше осталось настроить фильтр в почтовом клиенте, который будет отсеивать помеченную почту в нужную папку, и можно пользоваться.

Вот в таком виде вы практически защищены от большей части спама. SpamPal гарантированно выловит из общего потока почты письма, отправленные через ненадежные серверы.

Проблемы

Но, к сожалению, не весь спам ходит через плохо настроенные серверы, позволяющие отправлять письма любому, не запрашивая пароль — или т.н. «открытые релеи» (open relays). Существует очень большая группа спамерских писем, которые отправляются через различные бесплатные сервисы, вроде того же mail.ru или hotmail.com. Администрация этих серверов прилагает грандиозные усилия по блокировке таких писем, но пока проигрывает эту битву. Поэтому будем справляться сами.

Понятно, что просто блокировать почту с бесплатных серверов нельзя — вы неизбежно подвергаетесь риску потерять важные письма. Да, несмотря на многочисленные уверения, что бесплатной почтой пользуются только новички, ими зачастую пользуются и для вполне серьезной переписки. Несколько моих знакомых, к примеру, при наличии у них довольно серьезных адресов, до сих пор пользуются ящиками на mail.ru.

Решение

Выход в данном случае состоит в том, чтобы анализировать письмо — спамерские письма составляются довольно характерно и, после некоторого обучения, легко распознаются программой. Но сам по себе SpamPal такого не умеет.

Такое умеет один из плагинов (дополнительных модулей) к нему. Вообще, к SpamPal разработано большое количество таких модулей, но сейчас нас интересует только один из них — Bayesian Filter. Математическую основу его работы лучше изучить отдельно (если она вообще нужна), для нормального же использования достаточно знания простых шагов по его настройке. После установки плагин появляется в списке на вкладке «Дополнения» настроек SpamPal и остается только активировать его. Настройки модуля по умолчанию вполне подходят для нормальной работы.

После активации модуля он начнет проверять все поступающие через SpamPal письма, точно так же помечая их. При этом в список спамерских уже начнут попадать и письма, отправленные с бесплатных серверов. Все, что теперь остается сделать — периодически, скажем, раз в сутки, просматривать список писем в папке SPAM, на тот случай, если SpamPal посчитает спамерским нормальное письмо.

Если такое действительно случится (или наоборот, нормальным письмом будет сочтено спамерское), то надо открыть «Дополнения» в SpamPal, зайти в управление плагином и вручную поправить фильтр, разметив отдельные письма как спам, а отдельный — как «не-спам». Суть возможностей плагина в том, что он анализирует подобные поправки, обучаясь все лучше распознавать нежелательные письма, и в дальнейшем ложных срабатываний (или несрабатываний) будет меньше.

По своему опыту скажу, что на основное обучение плагина у меня ушло порядка двух недель, и сейчас, получая в сутки порядка 400-500 писем, минимум 300 из которых составляет спам, мне приходится поправлять фильтр по одному-двум письмам в сутки.

Недостатки

Из недостатков SpamPal в связке с Bayesian Filter можно отметить их «незаточенность» под русский язык. Они разрабатывались англоязычными программистами, поэтому англоязычный спам фильтруют замечательно. Русскоязычный спам могут пропустить. Впрочем, видимо, не только русскоязычный, ибо попадались и письма на немецком языке.

Зачастую ложное срабатывание фильтра связано с использованием транслита или характерными словами, использованными в заголовке письма. SpamPal упорно фильтровал мою переписку с вполне солидным и правильным адресом, пока я не занес адрес в список разрешенных. Приглядевшись к письму, я понял, в чем дело — темой письма значилось «proposition» с парой пробелов перед ним, что очень характерно для спамерских писем.

В заключение могу сказать, что SpamPal можно смело рекомендовать в качестве решения для защиты от спама на локальном компьютере — некоторые его недостатки с лихвой уравновешиваются результатом, достигаемым с его помощью.

Единственное принципиальное неудобство, которое неизбежно присутствует в подобных программах — для распознавания спама его предварительно приходится скачивать. В этом отношении серверные пакеты гораздо удобнее, позволяя разметить спам на сервере и сложить в отдельную папку для последующего удаленного просмотра.

SpamPal и защита от спама

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике